ICTを活用した安定的かつ利便性の高いサービスについて〜令和二年第一回定例会で一般質問をしました。

令和二年第一回定例会において一般質問をしました。

ICTを活用した安定的かつ利便性の高いサービスについて

(1)初めにシステム障害への対策について伺います。

昨年の12月4日に中野区の仮想サーバーを構築している日本電子計算のデータセンターに障害が発生しました。そのためHP、戸籍、介護、就学系のサービスに不具合が生じて利用できない事態となり、日本電子計算のデータセンターを利用している団体のうち47自治体に影響範囲は様々ですが障害が生じたと発表されています。

総務省から平成27年にマイナンバーの情報連携開始に向けて、地方公共団体に対していわゆる「三層の対策」に取り組むよう働きかけがあり、中野区においてもマイナンバー系、LGWAN、インターネットのネットワークを分離する対策をとっていましたが、インターネット環境と窓口業務の仮想サーバーを日本電子計算データセンター内の同じ環境に構築していたため、HPと戸籍システムが同時にダウンして区民への影響が大きくなるなどの、大きな障害が発生しました。

そのためデータセンターの障害により戸籍証明書などが発行できなくなり、さらにインターネットの障害によりHPでシステム障害の状況を掲載できない状態となり、グループウェア、メール機能が利用できなくなったことで外部との連絡も制限されました。障害が横断的に発生したことで業務が大幅に滞る現象が発生しました。一部の自治体では業務を継続できていましたが、それらの自治体ではデーターセンターを分散して運用していたのだと推測できます。

そこで質問です。

【質問】中野区においても今後の対策としてシステムを複数のデータセンターに分散する、または2系統のデータセンターに統合サーバーを構築するなどが考えられます。今後のシステム運営の方針についてどのような観点で検討を進めますか?

【区長】今回の障害発生を教訓として業務継続の観点からデータセンターの二重化も選択肢の1つとして、費用対効果などを踏まえつつ検討したいと考えている。

情報発信の要である区のホームページや、高度に業務継続が求められる業務システムなどについては、障害や災害の発生時でも優先して業務が継続できる仕組みを検討して参りたい。

今後、同様の事態が発生しないまたは被害を最小限に止めるための対応策の検討が最も重要だと考えます。今回は日本電子計算のデータサーバーではバックアップ体制を構築しているとのことでしたが、実際には機能していませんでした。本来これは事業者側の責任に当たりますが中野区は区民の皆様から税金と貴重な情報資産を託される立場であり加害者の面も当然あります。今後は事業者に管理を一任するのではなく、区側として適切にマネジメントする必要があると考えます。

岡崎市と豊橋市では独立行政法人情報処理機構が公開している非機能要件を別途契約しているサービス仕様書に記載して、ベンダーと状況を確認するマネジメント会議を定期的に開いています。中野区でもこのように確認をしていればバックアップ体制に不備があることを事前に気づいて対策を打てたのではないでしょうか。

そこで以下2点質問です。

【質問】1つ目、ベンダーと契約する際に非機能要件チェックリストをベースに作成した仕様書を別途締結し、定期的な点検を義務付けてマネジメント会議を開催するなど運営面を改善してはいかがでしょうか。

【企画部長】中野区でもシステム事業者とは毎月定例会を設け、必要な連絡調整などを行ってきているが、今後、非機能要件チェックリストの内容を参考として、定期的な点検内容の充実、その点検結果を踏めた対応策の検討改善サイクルを構築できるよう定例会の内容を精査していきたい。

【質問】2つ目、事前にヒアリングした話では事業者はバックアップが取れていない場合は区へ報告する義務があったとのことでした、今後こういった事態を回避するためにシステムの根幹に関わる部分はバックアップ訓練を実施する必要があると考えますが、いかがでしょうか。

【企画部長】今回のデータセンター障害を受け、区の業務を継続していくためには、障害発生時を想定した訓練の実施は必要だと考えており、バックアップからの復旧訓練についても、対応が可能なシステムについては実施していきたい。

また、実際の訓練が出来ないのその他のシステムについても、復旧マニュアルに沿った仮装訓練を行うなど、できる範囲内での対応をして参りたい。

(2)続いてセキュリティ対策についてです。

今年は東京オリンピック・パラリンピックが開催されます。開催国はサイバーテロの標的となり、北京、ロンドン、リオオリンピックと回を重ねるにつれアタック件数は増加しています。警察庁の発表によれば全国の警察が昨年摘発した不正アクセスなどのサイバー犯罪は前年比502件増の9542件で過去最多となっており、中野区においても今後サイバーアタックの対策を進めていく必要があります。総務省は東京オリンピック・パラリンピックを前に早急に取り組むべきサイバーセキュリティ対策について緊急提言「我が国のサイバーセキュリティ強化に向け速やかに取り組むべき事項」を発表しています。その中で自治体に共通する課題が複数提示されています。そこで示された「公衆無線 LAN のセキュリティ対策」について伺います。

中野区ではNakano Free Wi-Fiを運営しておりますが、アクセスポイントが暗号化されていない場合、ユーザーが詐称されたアクセスポイントを利用してしまうなど、通信を盗聴されるリスクが存在しており利用に当たっては、訪日外国人の利用も念頭に置きつつ、提供者・ユーザー双方におけるセキュリティ対策を進めていく必要性が指摘されています。

そこで質問です

【質問】 Nakano Free Wi-Fiを始めとした中野区のWi-Fi利用に関して、区のHPなどを通じてユーザーが講じるべきセキュリティ対策について啓発する必要があると考えます、中野区の見解をお伺いいたします。

【企画部長】区や関連する事業者の提供するWI-FI利用に際しては、セキュリティのあり方を検討するとともに、区民に対して暗号化の有無に関わらず、情報セキュリティに配慮した適切な利用についての周知を図って参りたいと考えている。

技術の進歩に伴いセキュリティ対策は進化していますが、同時にサイバーアタックの技術や方法も進歩しておりセキュリティ対策に万全はないという意識で日々改良する必要があり、常にセキュリティの脆弱性を探す姿勢も重要です。

自治体名は伏せますが特別区の自治体でレッドチームテストといって庁内システムへの侵入を専門の業者に依頼した事例があり、ヒアリングをしてまいりました。いわゆるホワイトハッカーにセキュリティの脆弱性を診断してもらう取り組みです。およそ2ヶ月の期間を通してレッドチームテストを実施した結果、職員のメール経由でマルウェアに感染して管理者権限やHPの更新権限が奪取されたとのことです。これは区民の重要情報を不正入手され、HPの情報を改竄されることを意味します。最近ではソーシャルエンジニアリングといってネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法が増えており、その多くは人間の心理的な隙につけ込むものです。レッドチームテストを実施した事業者は「自治体のセキュリティは金融機関よりも堅牢であるが、本気になれば侵入できない自治体はない」とコメントしていたそうです。

当該自治体も中野区と同様に総務省が推奨する3層分離の対策をとっていましたが、メール経由でインターネットシステムに侵入を許し、その後他のネットワークにも侵入されました。私も分離されたネットワークには侵入はできないという認識でしたが専門家にしか見えない小さな穴があってそこから侵入されたとのことです。

また物理的な侵入を許し庁舎内にある端末にPCをハッキングするUSBを差し込まれたとのことでした。差し込まれた直後に異変を察知してすぐに抜いたとのことでしたが、訓練でなければシステムを乗っ取られたり、破壊されていたと思われます。

そこで以下3点質問です。

【質問】1つ目、レッドチームテストを実施した自治体は結果報告を受けて再発を防ぐための対策として研修などに力を入れています。中野区も当該自治体にヒアリングし報告書を参考にした上で必要な研修やシステムの脆弱性診断してはいかがでしょうか。

【企画部長】現在も、区では職員を対象としたE-ラーニングの全員研修で受講率100%を達成するなど、セキュリティ研修には注力しているが、レッドチームテストの実施自治体の取り組み例も参考として、セキュリティ対策の実効性向上に務めると共に、職員に対する研修内容の充実を図って参りたい。

【質問】2つ目、簡易的なレッドチームテストを庁内で立ち上げて標的型攻撃メール訓練など抜き打ちテストを実施してはいかがでしょうか。

【企画部長】区でも、すでに訓練実施しているところであるが、区の業務における高度なセキュリティの確保は重要であり、そのためにコンピューターに関する高度な知識や技術を駆使してサイバー攻撃から情報システムを守る、いわゆるホワイトハッカーの活用もその1つと考える。

【質問】3つ目、新庁舎を整備する際など大規模なシステム変更が発生するタイミングでのレッドチームテスト の実施を検討されてはいかがでしょうか。見解を伺います。

【企画部長】今後、先進自治体の事例等も参考としながら効果的な訓練のあり方について検討して参りたい。

(3)続いて新庁舎移転を踏まえた情報基盤のあり方についてです。

令和元年(2019 年)12月2日の総務委員会で「新庁舎整備を契機としたICTの利活用による業務改善の推進について」考え方が示されました。その中で新庁舎整備を契機に区においても、AI、RPAなどを活用した区の内部業務の効率化やモバイルワーク、テレワークの実現など、職員の働き方の改革、行政活動へのICT技術の活用を進めていくと言及されています。新庁舎は2024年から寿命70年として2096年

まで利用されるわけですが、この頃には窓口業務の電子化が一層進んで、役所に来なくても行政手続きができる、内部管理事務の効率化や自動化が進み職員は役所での業務に縛られずどんどん地域に飛び出していくそんな時代になっていると想像します。

テレワークは、在宅勤務など柔軟な働き方を推進するに当たって重要な取り組みですがセキュリティ面に課題は多くあります。粉末を損失した場合システムへのアクセス権を解除する、クラウドでの情報管理を徹底させるなどの情報システムのあり方も整理する必要があります。渋谷区では新庁舎に移転するにあたり情報基盤を先述した三層分離ではなく新たに業務系のコア系システムを分離する4層分離としました。職員はノートPCからコア系システム経由でアクセスするため、マイナンバー系、LGWANなど他のシステムへの侵入や、ウィルス感染を防げるとのことです。

そこで質問です。

【質問】システム障害の対応も完全収束していない状態ですからすぐに方針を決定する必要はありませんが、ソサイエティ5.0や自治体3.0新庁舎のあり方を検討する上で情報基盤のあり方、端末のあり方などを整理する必要があると思います、見解をお伺いいたします。

【企画部長】業務の効率化や職員の働き方改革、その他行政サービスの向上について、ICTの利活用は必要不可欠であると考えている。セキュリティを確保しつつ区民の利便性向上や職員の働き方改革に資する情報基盤のあり方について、来年度改定を予定している地域情報化計画の中で示して参りたい。

(4)最後に庁内のICT利用環境の利便性についてです。

主要政策の成果で示された庁内情報システムに対するユーザー満足度は50.9%と前年から4.1%程度低下しています。決算分科会で質問したところ満足度低下の一因として「平成29年度に3層分離を導入してインターネットとシステムを分離したためインターネットとの接続に手数がかかるようになった」と答弁がありました。職員へヒアリングしたところ、現在インターネットとLGWANを分離しているのでHPの情報をコピーアンドペーストしたり、資料を印刷、共有する際にもファイルの無害化処理が必要で作業を中断され1日30分程度の時間をロスしているとのことでした。仕事内容は職員ごとに異なるのであくまでも仮定にすぎませんが、仮に職員2000名が1日30分ロスしているとすれば1日当たり1000時間のロスが生じていることになり職員の生産性低下に大きく影響します。RPAなどの仕組みを導入しても効果が相殺されてしまいます。利便性の向上という点では無害化を自動で行うツールもありますし、グループウェアなどをインターネット環境へ移すことでこういった負担も軽減できます。

そこで質問です。
【質問】職員の生産性を低下させてないために情報基盤やセキュリティのあり方を整理する際に利便性の観点も合わせて検討いただければと思います。見解をお伺いいたします。

【企画部長】平成27年度の年金機構の個人情報流出事件に端を発し、マイナンバー制度の施行を控えた各自治体では、マイナンバー系、LGWAN系、インターネット系のネットワークを分離する「三層の構え」を構築し、インターネットの脅威からマイナンバーなどのセキュリティを確保する仕組みを整えた。その1つが、インターネットからのファイルダウンロードを安全に行うための無害化処理であり、それが職員の事務効率を低下させていることは認識している。今後、リプレイスなどの機会を捉え、職員の業務効率向上に資する方法への改善に向けた検討も行って参りたいと考えている。

以上で私の全ての質問を終了いたします。

トップへ戻る